Delegado de Protección de Datos en Ecuador: la fecha límite ya corre y el “cumplimiento exprés” te puede costar caro

Delegado de Protección de Datos (DPD) en Ecuador: quién debe designarlo, cómo registrarlo y por qué el “cumplimiento exprés” no cumple

La figura del Delegado de Protección de Datos Personales (DPD) no es un trámite: es un rol de gobernanza diseñado para supervisar y asesorar el cumplimiento del régimen de protección de datos. Su designación y registro deben entenderse como parte de una implementación integral del cumplimiento, no como un reemplazo de ésta.

1) ¿Quiénes están obligados a designar un DPD?

La LOPDP establece que debe designarse DPD, entre otros, en estos casos:

• Sector público (entidades comprendidas en el art. 225 de la Constitución).
• Cuando las actividades del responsable o encargado requieran control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades.
• Cuando exista tratamiento a gran escala de categorías especiales de datos (p. ej., datos sensibles).
• Además, la Autoridad puede definir nuevas condiciones y emitir directrices para la designación.

Ejemplos frecuentes (según el tipo de operación y escala): salud, aseguradoras, educación, fintech, plataformas con monitoreo sistemático, call centers de alto volumen, tecnologías que perfilan usuarios, entre otros.

2) Fecha límite y registro del DPD

El Reglamento del Delegado (Resolución N.º SPDP-SPD-2025-0028-R) determinó que los responsables/encargados del sector privado que deban contar con DPD deben inscribirlo ante la SPDP:

• Desde el 1 de noviembre hasta el 31 de diciembre de 2025.
• La resolución prevé registro físico, electrónico y/o digital dentro de ese plazo.
• El incumplimiento del registro dentro del plazo se considera falta de cumplimiento de medidas de seguridad de carácter jurídico.

3) Implementar la LOPDP no es “generar documentos”

Aquí está el punto crítico: designar y registrar el DPD no equivale a cumplir. La Ley exige un enfoque de cumplimiento operativo y demostrable, con medidas efectivas, evidencia y gestión real de riesgos.

La propia SPDP, en su Guía de Gestión de Riesgos, advierte que el cumplimiento no se trata de “listas de chequeo” o “largos reportes sin sustancia” desde una lógica de cumplimiento “en el papel”.

4) Por qué los “paquetes documentales” y las “soluciones exprés” no son fiables

Los sistemas que prometen “cumplimiento automático” (plantillas estándar, paquetes de políticas en 24 horas y a veces te lo prometen en segundos las famosas «soluciones exprés») suelen fallar por una razón técnica y legal: no se adaptan a tu realidad de tratamiento, tus riesgos, tus sistemas y tu operación.

La LOPDP, en su artículo 39, impone el principio de protección de datos desde el diseño y por defecto, que obliga a considerar riesgos desde la concepción del proyecto y a implementar medidas técnicas, organizativas y de otra índole para garantizar el cumplimiento.

En otras palabras: si el “cumplimiento” no aterriza en procesos, controles, configuraciones, contratos reales, capacitación y evidencias, no es cumplimiento.

5) ¿Qué significa una implementación integral?

Una implementación seria normalmente combina, como mínimo, estos cuatro frentes (alineados a la lógica de la LOPDP y sus guías técnicas):

A. Medidas jurídicas

• Base de licitud, cláusulas y contratos (encargos, corresponsabilidad, confidencialidad).
• Avisos de privacidad, transparencia, consentimiento cuando aplique.
• Procedimientos de ejercicio de derechos y gestión de incidentes.

B. Medidas organizativas

• Gobernanza (roles, comités, RACI), independencia del DPD, reporting.
• Capacitación y cultura de privacidad.
• Gestión de terceros y debida diligencia.

C. Medidas administrativas

• Inventario/RAT, políticas internas, controles de cambios, retención y eliminación.
• Evidencias, auditorías, KPIs/KRIs, mejora continua.

D. Medidas técnicas

• Seguridad por diseño: minimización, control de accesos, trazabilidad, cifrado, respaldos.
• Gestión de vulnerabilidades y seguridad aplicada a aplicaciones/sistemas.
• Controles proporcionales al riesgo (enfoque de gestión de riesgos).

Para que la implementación sea sostenible, auditable y consistente (no solo “documental”), es recomendable estructurarla sobre estándares internacionales que aterrizan controles y evidencias. En nuestras propuestas, alineamos la implementación de la LOPDP con:

• ISO 27001 (SGSI): habilita la gestión de seguridad de la información con controles, gestión de riesgos, evidencias, auditorías y mejora continua; es la base para materializar medidas técnicas y parte de las organizativas/administrativas (accesos, cifrado, incidentes, continuidad, proveedores, etc.).

• ISO 27014 (Gobierno de la Seguridad de la Información): refuerza el gobierno y la rendición de cuentas en seguridad, asegurando patrocinio de alta dirección, roles, métricas y toma de decisiones basada en riesgo, clave para el rol del DPD y el modelo de gobernanza.

• ISO 29100 (Marco de Privacidad) y ISO 27701 (SGP/Extensión de 27001): apoyan la implementación de privacidad (principios, roles, controles y documentación) integrando privacidad con seguridad, útil para privacy by design/by default, inventarios, encargos, derechos y cumplimiento.

• ISO 31000 (Gestión de Riesgos): aporta metodología para identificar, evaluar, tratar y monitorear riesgos de privacidad; se articula con la exigencia de enfoque basado en riesgos que impulsa la autoridad y la lógica de cumplimiento real.

• ISO 9001 (Gestión de la Calidad): permite convertir la protección de datos en un sistema gestionable, con procesos, responsables, control de cambios, no conformidades, acciones correctivas y mejora continua (evita el “cumplimiento de una sola vez”).

• ISO 20000 (Gestión de Servicios TI): aterriza la privacidad y seguridad en la operación de TI (gestión de cambios, incidentes, niveles de servicio, continuidad), especialmente útil cuando hay mesas de ayuda, operación de plataformas y tercerización tecnológica.

• ISO 22301 (Continuidad de Negocio): integra la resiliencia ante incidentes y crisis (incluyendo ciberincidentes), alineando continuidad con obligaciones de seguridad y respuesta.

• PCI DSS (si existe pasarela de pagos / tarjetas): complementa controles de seguridad específicos para entornos de pago (segmentación, monitoreo, hardening), relevantes si el tratamiento involucra datos de tarjetas o servicios de cobro.

• ISO 37001 (Antisoborno) y ISO 14000 (Ambiental / carbono neutro): no son de privacidad, pero fortalecen el enfoque de compliance corporativo y gobierno integral, útil para organizaciones que buscan madurez normativa y reputacional.

• Buenas prácticas de infraestructura (p. ej., certificaciones tipo Tier III para data center, cuando aplique): ayudan a respaldar disponibilidad, redundancia y controles operativos, complementando continuidad y seguridad.

Cómo se traduce esto en la práctica: estas normas se convierten en un “sistema” de controles, procedimientos y evidencias que demuestra que la organización implementó por diseño y por defecto, gestionó riesgos, estableció gobierno, y operó seguridad y privacidad de forma continua; no solo “emitió documentos”.

6) Recomendación práctica: qué hacer hoy

1. Determina si estás obligado (art. 48 LOPDP) y documenta el criterio.
2. Designa un DPD idóneo e independiente (no “de papel”).
3. Registra el nombramiento dentro del plazo 1-nov-2025 a 31-dic-2025.
4. Ejecuta un plan de implementación integral (medidas jurídicas, técnicas, organizativas y administrativas).

Cómo te apoyamos en Lex Data Corporation

En Lex Data Corporation implementamos cumplimiento integral, no “carpetas de documentos”. Aterrizamos la LOPDP a tu operación (procesos, tecnología, contratos, gestión de riesgos y evidencias), y gestionamos la designación y registro del DPD conforme a la normativa aplicable.